漏洞预警|泛微OA(e-cology)曝SQL注入漏洞

时间:2019-10-17 13:01:05来源:信息安全服务部作者:梦之想科技

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。


漏洞简介


严重程度:高危

影响版本:泛微e-cology OA系统JSP版 (Oracle数据库)


漏洞成因


问题出在WorkflowCenterTreeData接口上,在使用Oracle数据库时,由于SQL语句拼接不严谨,导致泛微e-cology OA执行SQL语句,造成SQL注入。


漏洞危害


攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,获取到数据库敏感信息。





处置建议


暂无官方补丁可用,临时处置建议如下:

1. 使用参数检查的方式,拦截带有SQL语法的参数传入应用程序;

2. 使用预编译的处理方式处理拼接了用户参数的SQL语句;

3. 参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化;

4. 在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码;

5. 建议使用泛微e-cology OA系统构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。